bomb_log

セキュリティに関するbom

2018/07/18(水) 『ご確認下さい』『 資料添付します。』『再送』『表題の資料を送付いたします。』『 Fw: 資料』『 7月』『 上記書類を送付します。』『 申込書類の送付』の調査

複数種類の件名に添付ファイルがついた不審メールを観測しました。
なお、観測はできませんでしたが、前日7/18でも同様の件名で同じマルウェアを取得するものが一部ばらまかれていたようです。

 

■日時
2018/07/18(土) 16:40頃 - 17:00頃

■件名
ご確認下さい
資料添付します。
再送
表題の資料を送付いたします。
Fw: 資料
7月
上記書類を送付します。
申込書類の送付

■添付ファイル
数字-書類.zip

zipファイル中に含まれる20180718_2.vbs はマルウェアです。

20180718_2.vbs
https://www.hybrid-analysis.com/sample/a270898758261e81d998bc42d0c87873f8a5d75cc1dae026edb30ecb0573f079?environmentId=100

■通信先
hxxp://ravigel[.]com/1cr.dat
hxxp://ravigel[.]com/top.dat

デコードするとpaint.exeになります。

paint.exe
https://www.hybrid-analysis.com/sample/eaaed139138504fcac268c50a1bdc9d6b0f2715c794d68c47172fdac3bb7fdc2

■C2
hxxps://siberponis[.]com